CVE-2026-1451
MediumCVSS 6.1Summary
Wtyczka rognone dla WordPressa jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) poprzez parametr 'a' w wersjach do 0.6.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które zostaną wykonane, jeśli uda im się oszukać użytkownika do wykonania akcji, takiej jak kliknięcie w link.
Risk Assessment
Atakujący mogą wykorzystać tę podatność do wstrzykiwania złośliwych skryptów, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. To stwarza poważne zagrożenie dla bezpieczeństwa użytkowników oraz reputacji organizacji.
Recommendation
Zaleca się aktualizację wtyczki rognone do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy ochrony przed XSS, takie jak Content Security Policy (CSP).
Original NVD description (English source)
The rognone plugin for WordPress is vulnerable to Reflected Cross-Site Scripting via the 'a' parameter in versions up to, and including, 0.6.2 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that execute if they can successfully trick a user into performing an action such as clicking on a link.

